Menu

Jahresbericht 2015 der GPK und GPDel

2. Februar 2016

Am 29. Januar 2016 wurde der Jahresbericht 2015 der Geschäftsprüfungskommissionen und der Geschäftsprüfungsdelegation der eidgenössischen Räte veröffentlicht. Aus der Sicht von grundrechte.ch interessieren vor allem die Ausführungen der Geschäftsprüfungsdelegation (GPDel) zum Nachrichtendienst (NDB). Weil das Präsidium der GPDel zu SVP-Mann Alex Kuprecht gewechselt hat, wurde allgemein eine zahme Überprüfung von Ueli Maurers NDB erwartet. Obwohl gravierende Mängel aufgespürt wurden, hält sich der Jahresbericht mit Kritik tatsächlich vornehm zurück.

Erfassung der Flugbewegungen von Schweizer Bürgern

Nach einer nichtssagenden Einführung über Aufgaben, Rechte und Organisation der GPDel und Berichten der spezialisierten Aufsichtsorgane erfährt man ab Seite 65 unter dem Titel «4.2.2 Genehmigungen und Berichte des Bundesrates», dass ab dem Jahr 2012 ein markanter Anstieg der API-Daten (Advance Passenger Information), welche vom Staatssekretariat für Migration (SEM) gestützt auf Artikel 104 des Ausländergesetzes von den Fluggesellschaften erhoben und an den NDB weitergereicht werden, zu verzeichnen ist. Hatte der NDB im Jahr 2011 noch lediglich 8,839 API-Datensätze erhalten, waren es in den folgenden drei Jahren mehr als 1,500,000 Datensätze. Der Grund ist, dass das SEM ab dem Jahr 2012 gestützt auf das Ausländergesetz auch Daten von Schweizer Bürgern von den Fluggesellschaften eingeholt hat. Dies ist klar nicht zulässig, regelt doch das Ausländergesetz gemäss Artikel 1 die Ein- und Ausreise, den Aufenthalt sowie den Familiennachzug von Ausländerinnen und Ausländern in der Schweiz. Auf Schweizer Bürger ist daher Artikel 104 nicht anwendbar, weshalb das SEM entsprechende Daten ohne Rechtsgrundlage erfasst.

Statt diesen Missstand zu kritisieren und für Abhilfe zu sorgen, hat die GPDel eingefädelt, dass der Bundesrat auf Verordnungsstufe das SEM ermächtigt hat, alle Daten an den NDB weiterzugeben. Dass das SEM aber die Daten von Schweizer Bürgern ohne Rechtsgrundlage bei den Fluggesellschaften bezieht, wird einfach unter den Tisch gewischt. Mit dem Segen der GPDel darf der NDB daher gestützt auf das Ausländergesetz API-Datensätze von Schweizer Bürgern erfassen und bearbeiten.

Gemäss Artikel 21 des neuen Nachrichtendienstgesetzes dürfte der NDB übrigens ohne Umweg über das SEM und das Ausländergesetz von einer natürlichen oder juristischen Person, die gewerbsmässig Transporte durchführt oder Transportmittel zur Verfügung stellt oder vermittelt, also auch von Fluggesellschaften, Auskunft über eine von ihr erbrachte Leistung einfordern. Ein Grund mehr, ein NEIN zum Nachrichtendienstgesetz in die Urne zu legen.

Volltextsuche trotz Mängeln?

Auf Seite 72 wird unter dem Titel «4.3.4 Freitextsuche im Staatsschutzsystem ISIS» dargelegt, dass der Direktor des NDB die Möglichkeit von Freitextsuchen auch auf den ISIS-Teil von IASA NDB ausweiten will, obwohl dann nicht sichergestellt ist, dass bei einer allfälligen Löschung wirklich alle Daten über eine verzeichnete Personen entfernt werden. Die GPDel hat den Entscheid über das weitere Vorgehen dem Direktor des NDB überlassen.

Datenbanken ohne Sicherheitskonzept

Auf Seite 75 im Abschnitt «4.4.3 Sicherheitskonzepte für die Informatiksysteme des NDB» wird berichtet, dass drei Informationssysteme des NDB kein gültiges Informationssicherheits- und Datenschutzkonzept (ISDS-Konzept) aufweisen, darunter das System P4 für das Fahndungsprogramm «Fotopass». Für ihren Betrieb hatte die Informations- und Objektsicherheit des VBS gestützt auf die Informationssicherheitsweisungen des VBS eine Ausnahmebewilligung erteilt. Die Vorschriften des Bundes für den Betrieb eines Systems der Sicherheitsstufe, wie sie vom NDB zu gewährleisten ist, setzen ein abgenommenes ISDS-Konzept voraus. Die Vorschriften des Bundes sehen aber keine Ausnahmen vor - auch keine temporären.

Wirksame Kontrollen?

Gemäss Webseite des VBS unterliegen sämtliche Tätigkeiten des NDB einer durchgehenden Kontrolle, namentlich durch die Nachrichtendienstliche Aufsicht (ND-Aufsicht) des VBS und die unabhängige Kontrollinstanz (UKI). Weder die ND-Aufsicht noch die UKI haben aber die beanstandeten Mängel festgestellt. Selst die GPDel hat die Erfassung von API-Daten von Schweizer Bürgern ab 2012 erst untersucht, als der NDB bereits über 1,500,00 Datensätze angehäuft hatte und Medien darüber berichteten. Von einer wirksamen Aufsicht über den NDB kann absolut keine Rede sein.